[fli4l] DMZ mit 3.10.3

Thomas Grunenberg tho_gru at web.de
Sa Okt 3 08:26:12 CEST 2015


Moin, moin,

IP_NET_2 ist die DMZ.
pc06 ist der einzige Rechner in der DMZ.

Meine ursprünglichen PREROUTING Regeln waren fehlerhaft, obwohl das von 
mkfli4l.bat nicht bemerkt wurde:
Alle Pakete (auch die aus dem LAN) an den UDP-Port 9987 wurden an pc06 
geleitet.

Meine Konfiguration in 3.10.3 sieht nun so aus:
######################################
PF_INPUT_3='if:IP_NET_2_DEV:any usr-dmz-input'
PF_INPUT_3_COMMENT='INPUT rules for DMZ'

PF_FORWARD_3='if:IP_NET_2_DEV:any usr-dmz-forward BIDIRECTIONAL'

PF_POSTROUTING_2='IP_NET_2 MASQUERADE'

PF_PREROUTING_N='4'             # DMZ: routing from PUBLIC to DMZ
PF_PREROUTING_1='prot:tcp any dynamic:22 DNAT:@pc06'
PF_PREROUTING_2='prot:tcp any dynamic:25565 DNAT:@pc06'
PF_PREROUTING_3='prot:tcp any dynamic:5190 DNAT:@pc06:25566'
PF_PREROUTING_4='prot:udp any dynamic:9987 DNAT:@pc06'


PF_USR_CHAIN_N='2'              # number of user-defined rules

PF_USR_CHAIN_1_NAME='usr-dmz-input'
PF_USR_CHAIN_1_RULE_N='1'
PF_USR_CHAIN_1_RULE_1='tmpl:dns IP_NET_2 ACCEPT'

PF_USR_CHAIN_2_NAME='usr-dmz-forward'
PF_USR_CHAIN_2_RULE_N='2'
PF_USR_CHAIN_2_RULE_1='IP_NET_2 IP_NET_1 REJECT'
PF_USR_CHAIN_2_RULE_2='if:IP_NET_2_DEV:any IP_NET_2 ACCEPT'
######################################

Mit den obigen Regeln funktioniert der Zugriff sowohl auf meinen Team 
Speak Server auf pc06 als auch auf die Team Speak Server im Internet.

Falls jemand Fehler in obiger Konfiguration sieht oder andere 
Anmerkungen hat, freue ich mich darüber.

Gruß
Thomas


Mehr Informationen über die Mailingliste Fli4L